关键要点:
- 《欧盟人工智能法案》是全球首部全面的人工智能法规。该法案根据风险等级对人工智能系统进行分类,并规定了开发或部署人工智能的企业必须履行的合规义务。尽管预计立法修订将把关键截止日期推迟至2027年底和2028年,但基础性要求已正式生效。制造商应利用这段额外时间,立即着手构建合规基础设施。
- 全球人工智能监管体系呈现碎片化且发展迅速。欧盟规定必须进行合规性评估,违规处罚最高可达全球营收的7%。美国主要依靠自愿性框架。中国则实施了算法备案和内容标注规定。目前尚无任何一种合规方法能够同时满足所有监管体系的要求。
- 人工智能的合规性是合同和治理方面的优先事项,而不仅仅是一个技术问题。供应商协议和内部监督机制的设计必须能够满足最严格的适用监管要求。
全球各国政府正着手对人工智能(AI)进行监管,制造商因此受到直接影响。2024年8月生效的《欧盟人工智能法案》对在欧洲市场开发或部署人工智能系统的企业规定了具有约束力的义务。美国、中国及其他主要经济体也在推进各自的监管方案,这些方案往往存在相互冲突的要求。 对于开展跨境业务的制造商而言,实际影响立竿见影:同一套人工智能系统在不同司法管辖区可能被归类为不同类别,从而引发不同的合规义务和执法风险。
1. 《欧盟人工智能法案》对高风险系统规定的合规义务
《欧盟人工智能法案》将人工智能系统分为四个风险等级:不可接受(禁止使用)、高风险(严格监管)、有限风险(透明度义务)和最低风险(无具体义务)。对于制造商而言,被归类为高风险将触发一系列重要的合规要求。作为机械安全部件使用的人工智能、集成于需加贴CE标志的产品中的人工智能,以及应用于关键基础设施的人工智能,通常被归类为高风险。
重要的是,大多数工业人工智能应用——包括生产优化、异常检测和预测性维护——只要不执行直接的安全功能,且最终决策权仍由人类掌握,就属于低风险类别。这种“人类参与循环”的区分,是决定制造商在欧盟框架下监管负担的最重要因素之一。
该法案还将“提供商”(人工智能开发商)与“部署方”(使用供应商提供的人工智能的公司)区分开来。提供商必须建立风险管理体系、保存技术文件并进行符合性评估。部署方(包括大多数购买人工智能软件的制造商)必须确保人工智能按预期使用、配备合格的监督人员并监控运行情况。制造商应通过合同要求供应商提供符合性文件。 请参阅我们之前的文章,了解制造商在与人工智能供应商谈判合同时的其他建议和策略。
2026年5月达成的一项立法协议(即《数字综合法案》)提议延长关键合规截止日期:高风险独立系统延至2027年12月,受监管产品中嵌入的人工智能则延至2028年8月。 就机械制造商而言,该协议提议将《欧盟机械法规》排除在《人工智能法案》的直接适用范围之外;取而代之的是,人工智能相关要求将融入现有的机械安全规则之中。不过,关于人工智能素养的要求及禁止性行为自2025年2月起已生效,并将继续有效。
2. 解读制造业和供应链领域的全球人工智能法规
在欧盟之外,制造商面临着一个碎片化的全球格局。美国尚未出台全面的联邦人工智能法律。现任政府倾向于采取支持创新的方针,并试图预先阻止各州出台人工智能法规,但目前48个州的法律已形成了一套零散的义务体系。美国国家标准与技术研究院(NIST)的人工智能风险管理框架(AI RMF)仍是美国企业遵循的主要自愿性治理标准。
中国则采取了不同的做法:强制要求对人工智能内容进行标注,制定国家安全标准,并出台影响汽车供应链的行业特定规则。英国则采取了较为宽松的、以行业为基础的做法,未出台全面的立法。
对于跨国制造商而言,作为首部人工智能管理体系国际标准的ISO/IEC 42001,提供了一个有用的运营框架,能够弥合各国之间不同的要求。美国国家标准与技术研究院(NIST)的人工智能风险管理框架(AI RMF)则作为一项互补的技术资源。这些自愿性框架有助于构建内部治理和供应商管理体系,但并不能免除遵守各司法管辖区具体规则的义务。
3. 国际人工智能监管中的执法趋势与处罚措施
《欧盟人工智能法案》规定的处罚力度超过了《通用数据保护条例》中已相当严厉的4%上限。根据《欧盟人工智能法案》,违反禁止性行为将面临3500万欧元或全球年营业额7%(以较高者为准)的罚款。其他高风险违规行为则将面临1500万欧元或营业额3%的处罚。 对于一家年收入为100亿欧元的制造商而言,单次违反禁止性行为就可能面临高达7亿欧元的罚款。
在美国,执法工作通过现有的监管权限进行:联邦贸易委员会(FTC)可对不公平或欺骗性的人工智能行为采取行动,而各州法律则规定了额外的法律责任途径。中国的执法则依托网络安全和数据安全法律,处罚措施包括罚款、暂停服务,甚至移交刑事机关处理。
对于制造商而言,一家人工智能供应商的失职就可能同时引发多个司法管辖区的监管风险。技术或许可以解释为何做出某项决策,但无法为由此产生的后果开脱。
4. 制造业和供应链人工智能应用中的合规风险管理
制造商应采取以下措施来应对合规风险:
- 开展人工智能盘点。根据用途、数据访问权限、自主程度及适用管辖范围,对每个人工智能系统进行分类梳理。
- 要求供应商提供合规文件。要求人工智能供应商提供技术文档、符合性声明以及关于风险分类的合同声明。
- 针对最严格的监管环境设计治理框架。如果您在欧盟开展业务,请按照《欧盟人工智能法案》的标准进行构建。将 ISO/IEC 42001 作为运营框架。有关构建可扩展的人工智能治理计划的更多信息,请参阅我们之前的文章。
- 在合同谈判中应明确分配监管风险。人工智能供应商协议应涵盖符合性评估义务、文件维护、事件报告以及针对监管处罚的赔偿责任。
- 在系统设计中融入人类监督机制。“人类参与循环”这一区分是决定制造类人工智能在欧盟框架下属于高风险还是低风险类别最重要的因素。应设计出能够确保人类在涉及安全关键决策时保有实质性决策权的流程。
福里与拉德纳律师事务所(Foley & Lardner)的制造业、供应链及 人工智能团队定期为制造商提供咨询,协助其在人工智能技术与全球合规要求的交汇点上开展业务。如需了解更多信息,请联系本文作者或您的福里与拉德纳律师事务所负责对接的合伙人。